Du consentement explicite à la gouvernance : déplacer le centre de gravité éthique
Le consentement explicite du patient reste un socle juridique indispensable pour tout traitement de données de santé par intelligence artificielle. Lorsque des données personnelles sont aspirées par des systèmes d’IA hospitaliers, le RGPD impose une finalité déterminée, une protection des données robuste et une information loyale. Mais dans le domaine santé, cette logique centrée sur l’individu ne suffit plus dès que les algorithmes apprennent sur des millions de patients et que les modèles sont continuellement réentraînés.
Les directions d’établissements de santé savent que la plupart des patients signent sans lire les formulaires de consentement explicite, souvent noyés dans les documents de soins santé. Cette asymétrie d’information fragilise la confiance, même si la conformité RGPD semble formellement assurée par le responsable de traitement et par les méthodologies de référence validées par la CNIL. Quand l’intelligence artificielle réutilise ces données de santé pour de la recherche ou pour optimiser des systèmes de gestion, la question devient moins « a t il consenti ? » que « qui contrôle réellement la finalité et la mise en œuvre ».
Dans le secteur santé, la bascule vers des systèmes d’intelligence artificielle auto apprenants transforme chaque dossier patient en matière première pour le développement d’algorithmes. Les objets connectés, les applications de suivi et les plateformes de télémédecine multiplient les flux de données personnelles et de données de santé, souvent en continu. Le consentement initial ne couvre plus toujours les nouveaux usages, ce qui impose une gouvernance éthique structurée plutôt qu’une simple gestion documentaire de la conformité.
Les comités d’éthique hospitaliers sont encore trop souvent cantonnés à la recherche clinique classique, loin des enjeux de traitement de données massives. Or l’éthique de l’intelligence artificielle en santé usage de données exige d’évaluer les risques de ré identifiabilité, les effets de bord organisationnels et les biais de système. Un cadre juridique solide ne dispense pas d’un débat collégial sur la proportionnalité du traitement de données et sur la protection des personnes vulnérables.
Pour un cadre hospitalier, la vraie question n’est plus de savoir si le consentement explicite est bien archivé dans le système d’information. Elle est de vérifier si la finalité réelle de l’utilisation des données correspond encore à ce qui a été expliqué au patient lors de son admission. Entre la promesse de soins santé personnalisés et la tentation d’un usage secondaire extensif, la ligne de crête éthique est étroite.
Les recommandations conjointes CNIL HAS sur l’IA en santé, publiées en 2021, rappellent que la protection des données ne se réduit pas à l’anonymisation ou à la pseudonymisation. Elles insistent sur la nécessité de mesures de sécurité adaptées au risque, mais aussi sur la transparence des systèmes d’IA vis à vis des professionnels de santé. Autrement dit, la conformité ne se joue pas seulement dans les registres de traitement, elle se joue aussi au chevet du patient, dans la manière dont le soignant explique l’usage des données de santé.
Au delà du RGPD : biais algorithmiques, usages secondaires et angles morts réglementaires
Le RGPD encadre le traitement de données personnelles avec une rigueur inédite, mais il n’a pas été conçu pour réguler la logique interne des algorithmes d’intelligence artificielle. Dans le secteur santé, les biais algorithmiques documentés en imagerie ou en scores de risque montrent que la conformité formelle ne garantit ni l’équité ni la qualité des soins. L’étude d’Obermeyer publiée dans Science en 2019 sur un algorithme de stratification des patients illustre comment un système conforme au règlement peut pourtant discriminer des populations entières (Obermeyer Z. et al., Science, 366(6464), 2019, doi:10.1126/science.aax2342).
Dans cette étude, l’algorithme utilisait les coûts de soins santé passés comme proxy de la sévérité, ce qui a sous estimé les besoins des patients noirs moins dépensiers pour des raisons structurelles. Les données de santé étaient traitées dans le respect apparent du cadre juridique, mais la finalité réelle du traitement de données s’est éloignée de l’équité en santé. Ce cas rappelle aux responsables de traitement que la protection des données ne suffit pas si l’éthique de la décision clinique est compromise par le modèle.
Un exemple concret illustre ces dérives possibles : dans un grand système hospitalier américain, l’algorithme étudié par Obermeyer et al. a conduit à ce que, pour un même niveau de sévérité clinique, environ 18 % des patients noirs soient orientés vers des programmes de soins intensifs contre près de 47 % des patients blancs. Corriger le modèle a permis d’augmenter significativement la proportion de patients noirs bénéficiant de ces programmes, sans modifier le volume global de ressources, montrant l’impact direct d’un audit de biais sur la qualité des soins.
Les usages secondaires des données de santé, entre recherche légitime et exploitation commerciale, constituent un autre angle mort du RGPD. Le Health Data Hub illustre cette tension permanente entre sante recherche d’intérêt général et appétit des industriels pour des jeux de données massifs. Un consentement explicite donné pour un protocole de recherche ne vaut pas blanc seing pour toute utilisation de données ultérieure, même si les données sont soumises à anonymisation ou pseudonymisation.
Pour les directions de CHU, la frontière entre sante usage pour l’amélioration des parcours et exploitation marketing devient parfois floue. Les contrats avec les éditeurs de systèmes d’IA doivent préciser la finalité, les modalités de protection des données et les mesures de sécurité techniques et organisationnelles. Sans cette clarté, la confiance des professionnels de santé et des patients se délite, même si la conformité RGPD est affichée dans les rapports annuels.
L’AI Act européen vient compléter ce paysage en classant les systèmes d’IA en santé comme dispositifs à haut risque, avec des obligations de transparence et de supervision humaine. Pour un cadre hospitalier, cela signifie que tout système d’intelligence artificielle utilisé pour le triage, l’aide au diagnostic ou la priorisation des listes d’attente relève d’un régime renforcé. Le consentement patient ne protège pas contre un algorithme mal calibré qui oriente silencieusement les décisions de soins.
Les tensions budgétaires et les contraintes de ressources humaines, déjà visibles avec les effets de la Loi Rist et la régulation de l’intérim médical, poussent certains établissements à accélérer la mise en œuvre de systèmes d’IA sans évaluation éthique approfondie. Pourtant, déployer un système de traitement de données sans audit de biais revient à accepter des inégalités de prise en charge invisibles. Le droit fixe un plancher, mais la responsabilité éthique impose un plafond d’exigence plus élevé.
Former les cadres et les soignants : une compétence éthique et réglementaire à part entière
La plupart des comités d’éthique hospitaliers n’ont pas encore intégré de manière systématique les enjeux spécifiques des données de santé et de l’intelligence artificielle. Les membres maîtrisent le cadre juridique classique de la recherche biomédicale, mais beaucoup restent peu familiers des architectures de systèmes d’IA et des logiques de développement logiciel. Or évaluer un projet d’IA en domaine santé suppose de comprendre comment les données personnelles circulent, sont prétraitées puis réinjectées dans des modèles.
Pour un DRH ou un directeur des soins, la montée en compétence sur ces sujets devient stratégique, au même titre que la gestion des effectifs médicaux rares. Les plans de formation doivent articuler éthique, RGPD, protection des données et compréhension opérationnelle des systèmes d’intelligence artificielle déployés dans le secteur santé. Il ne s’agit plus seulement de rappeler les obligations de conformité, mais d’outiller les professionnels de santé pour interroger la finalité réelle de chaque utilisation de données.
Les méthodologies de référence publiées par la CNIL pour le traitement de données de santé en recherche offrent un socle, mais elles ne remplacent pas un jugement clinique éclairé. Un cadre hospitalier doit savoir questionner la pertinence d’une anonymisation ou d’une pseudonymisation au regard du risque de ré identification dans un petit territoire. Il doit aussi être capable de challenger un éditeur sur les mesures de sécurité, la gouvernance des modèles et la traçabilité des décisions algorithmiques.
Les formations les plus utiles sont celles qui partent de cas concrets : imagerie, triage aux urgences, prédiction de réadmission, optimisation des blocs opératoires. Des ressources comme l’analyse critique de l’IA en santé proposée sur les vraies données d’usage de l’IA en santé permettent de sortir du récit promotionnel. Elles replacent le traitement de données dans un contexte de contraintes réelles, de qualité de données hétérogène et de responsabilités partagées entre industriels et établissements.
Les DRH santé qui pilotent le recrutement de profils rares, comme les biochimistes médicaux, voient déjà l’impact de ces transformations sur les métiers. Les compétences en data, en protection des données et en éthique deviennent des critères de recrutement, comme le montre l’analyse des opportunités et défis dans le recrutement des biochimistes. Le secteur santé ne peut plus opposer culture soignante et culture numérique, car la qualité des soins dépend désormais de cette hybridation.
Former les professionnels de santé à l’IA ne signifie pas en faire des data scientists, mais des interlocuteurs exigeants face aux fournisseurs de systèmes. Ils doivent comprendre ce qu’implique l’utilisation de données pour l’entraînement continu d’un modèle, et savoir quand exiger un nouveau consentement explicite. La confiance du patient se gagne quand le soignant peut expliquer, sans jargon, comment ses données de santé sont protégées et pourquoi leur traitement est justifié.
Les directions doivent aussi anticiper l’impact organisationnel de ces technologies sur les parcours de soins santé et sur la charge mentale des équipes. Un système d’IA mal intégré peut ajouter du travail administratif, complexifier les circuits de validation et fragiliser la relation de confiance avec le patient. L’éthique de l’IA en santé est donc aussi une éthique du travail réel, pas seulement une affaire de textes réglementaires.
Garde fous opérationnels : de la théorie réglementaire aux décisions de terrain
Pour dépasser le mythe du consentement comme rempart absolu, les établissements doivent structurer une véritable gouvernance des données de santé et de l’intelligence artificielle. Cela commence par une cartographie précise des traitements de données, des flux entre systèmes et des finalités réelles, bien au delà des registres RGPD standard. Chaque projet d’IA en domaine santé devrait passer par un comité d’évaluation associant DPO, cliniciens, représentants des patients et experts en éthique.
Ce comité ne doit pas se limiter à vérifier la conformité formelle au règlement et aux recommandations CNIL. Il doit interroger la proportionnalité de l’utilisation de données, la pertinence de l’anonymisation ou de la pseudonymisation et l’impact potentiel sur les inégalités de santé. L’objectif est de transformer la protection des données en levier de qualité des soins, et non en simple contrainte administrative.
Sur le plan technique, les mesures de sécurité doivent être adaptées à la sensibilité des données de santé et à la criticité des systèmes d’IA. Chiffrement, journalisation des accès, segmentation des environnements de développement et de production ne sont plus des options dans le secteur santé. Les objets connectés utilisés en soins santé à domicile doivent être intégrés dans cette stratégie, car ils génèrent un flux continu de données personnelles souvent sous estimé.
La responsabilité ne peut pas être intégralement déléguée aux industriels qui développent les systèmes d’intelligence artificielle. Le responsable de traitement au sein de l’établissement reste comptable de la finalité, de la mise en œuvre et de la protection des données. Il lui revient de négocier des clauses contractuelles claires sur l’utilisation de données pour le développement ultérieur des modèles et pour la recherche.
Les directions doivent aussi instaurer des mécanismes de redevabilité vis à vis des patients et des professionnels de santé. Rapports publics sur les projets d’IA, information claire sur les traitements de données et possibilité de retrait effectif de certaines utilisations de données renforcent la confiance. Dans ce cadre, le consentement explicite redevient un outil de dialogue, et non un simple paraphe au bas d’un formulaire.
Enfin, la culture éthique doit être entretenue par des retours d’expérience réguliers, y compris sur les échecs ou les dérives évitées de justesse. Les établissements de référence, comme plusieurs CHU pionniers en imagerie ou en aide à la décision, montrent qu’une gouvernance exigeante n’entrave pas l’innovation. Elle la rend soutenable, car elle articule données de santé, IA, éthique, consentement et RGPD dans une même logique de soin : pas le score, mais la décision thérapeutique.
Chiffres clés sur données de santé, IA et régulation
- Selon la CNIL, plus de 20 % des notifications de violations de données concernent le secteur santé, ce qui illustre la vulnérabilité particulière des systèmes hospitaliers face aux cyberattaques. Ce chiffre ressort notamment des bilans annuels de la CNIL sur les violations de données publiés depuis 2020 (par exemple, Rapport d’activité 2022, cnil.fr).
- Une analyse de la Commission européenne sur les projets d’intelligence artificielle en santé indique qu’environ 80 % du temps de développement est consacré à la préparation et au nettoyage des données, montrant que la qualité des données de santé est un enjeu aussi important que les algorithmes eux mêmes. Ce ratio est régulièrement cité dans les rapports de la Commission sur l’IA et les données (voir notamment les communications de la DG CONNECT sur l’IA fiable).
- L’étude d’Obermeyer publiée dans Science en 2019 a montré qu’un algorithme de prédiction des besoins en soins sous estimait fortement les besoins des patients noirs par rapport aux patients blancs à sévérité clinique comparable, illustrant l’impact concret des biais de traitement de données sur l’équité en santé (Obermeyer Z. et al., 2019, doi:10.1126/science.aax2342).
- Les rapports publics sur le Health Data Hub indiquent que plusieurs centaines de projets de recherche utilisent déjà des données de santé pseudonymisées à grande échelle, ce qui renforce la nécessité d’un cadre éthique robuste pour l’usage secondaire des données et pour la gouvernance des plateformes nationales (voir les rapports d’activité annuels du Health Data Hub).